Александр Лямин, генеральный директор HLL, рассказал на конференции HighLoad++ 2009 о том, какие виды DDoS-атак являются наиболее популярными и как пережить их с минимальными потерями, используя известный и не очень инструментарий с открытым исходным кодом.
Экономика DDoS: во сколько вас оценили (предмет для гордости!) и чего можно ожидать (оценка эффективность атаки).
• DDoS – это просто и дешево;
• стоимость аренды ботнета;
• экономическое плечо атаки;
• выводы.
Посмотрим врагу в лицо: география и габариты ботнетов, встречающихся на просторах Рунета. Особенности ботнетов (конечность, тупость, жадность) и как их использовать при борьбе с атаками.
Кто к нам пришел: основные разновидности DDoS-атак, элементы LAMP-стека, на которые они направлены. Комбинированые атаки. Куда смотреть, что замечать и на что обращать особое внимание.
Домашнее задание: о каких элементах вашей архитектуры полезно позаботиться заранее, адекватность архитектуры и вашей рыночной стоимости (не жадничать).
Искусство художественной grepки: как настроить access.log, заголовок как улика, печеньки и зачем их едят, ловушки для бота, как выделить тело ботнета, используя однострочный шелл-скрипт.
Фильтруем базар: зачем нужен stateful файрволл, зачем он не нужен и как отфильтровать сто тысяч пятьсот ботов и не устать в ksoftirq.
Звонок NOC'у: как использовать географию и языковую сегментацию в своих целях. Как вежливо и грамотно получить blackhole на интересных направлениях. Печальное положение вещей в Телко.
Цена запроса: о стоимости запроса в терминах ресурсов сервера и жадности ботов.
Александр Лямин, генеральный директор HLL, рассказал на конференции HighLoad++ 2009 о том, какие виды DDoS-атак являются наиболее популярными и как пережить их с минимальными потерями, используя известный и не очень инструментарий с открытым исходным кодом.
Экономика DDoS: во сколько вас оценили (предмет для гордости!) и чего можно ожидать (оценка эффективность атаки).
• DDoS – это просто и дешево;
• стоимость аренды ботнета;
• экономическое плечо атаки;
• выводы.
Посмотрим врагу в лицо: география и габариты ботнетов, встречающихся на просторах Рунета. Особенности ботнетов (конечность, тупость, жадность) и как их использовать при борьбе с атаками.
Кто к нам пришел: основные разновидности DDoS-атак, элементы LAMP-стека, на которые они направлены. Комбинированые атаки. Куда смотреть, что замечать и на что обращать особое внимание.
Домашнее задание: о каких элементах вашей архитектуры полезно позаботиться заранее, адекватность архитектуры и вашей рыночной стоимости (не жадничать).
Искусство художественной grepки: как настроить access.log, заголовок как улика, печеньки и зачем их едят, ловушки для бота, как выделить тело ботнета, используя однострочный шелл-скрипт.
Фильтруем базар: зачем нужен stateful файрволл, зачем он не нужен и как отфильтровать сто тысяч пятьсот ботов и не устать в ksoftirq.
Звонок NOC'у: как использовать географию и языковую сегментацию в своих целях. Как вежливо и грамотно получить blackhole на интересных направлениях. Печальное положение вещей в Телко.
Цена запроса: о стоимости запроса в терминах ресурсов сервера и жадности ботов.
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)HLL
В сети существует множество «поваренных рецептов» о том, как построить защиту от DDoS-атак своими руками. В докладе Александра Лямина, генерального директора HLL, презентованном на конференции «Российские интернет-технологии» (РИТ++/2012), проведен подробный анализ наиболее интересных из них, названы критерии эффективности системы защиты в целом и проведена оценка возможностей как отдельных методов противодействия, так и комбинированных.
The Java Virtual Machine is Over - The Polyglot VM is here - Marcus Lagergren...jaxLondonConference
Presented at JAX London 2013
Ever since Java’s inception, in 1995, people have been compiling languages that aren’t Java to bytecode and deploying them on the JVM. Lately we are seeing an explosion in JVM languages. This is partly, but not only, because of Java 7, the first JVM to ship with invokedynamic, which is a quantum leap in polyglot runtime implementation. This session explains why emerging language implementations are becoming more common and more feasible to implement on the JVM with satisfactory performance.
Сергей Грушко – эксперт в области IP-телефонии – о нюансах обеспечения безопасности системы IP-телефонии на базе Asterisk для онлайн-школы SkillFactory.
Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...Lenvendo
inShare
0 views
Компания "Ленвендо" занимается созданием, развитием и поддержкой крупномасштабных онлайн-проектов.
Сегодня «Ленвендо» отвечает за работу ресурсов «Эльдорадо», «Связной», HomeMe, Газпромбанк, Эхо Москвы в Петербурге
В докладе пойдет речь о DDoS — самом грубом оружии недобросовестной конкуренции, которое, к сожалению, применяется всё чаще. В докладе будет рассказано: что делать и куда бежать, если ваш интернет-магазин «ддосят», есть ли смысл обращаться к хостеру или придется отбиваться самому, как Яндекс реагирует на недоступность сайта и как восстановиться после атаки.
lm-sensors in embedded systems: from schematics to management from linuxPavel Kurochkin
Helps to understand lm-sensors in Altera Cyclone V SoC as full-stack task: implement it in schematics, configure device-tree, detect it on i2c bus, attach hwmon driver to it and perform end-user configuration of sensors app.
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)HLL
В сети существует множество «поваренных рецептов» о том, как построить защиту от DDoS-атак своими руками. В докладе Александра Лямина, генерального директора HLL, презентованном на конференции «Российские интернет-технологии» (РИТ++/2012), проведен подробный анализ наиболее интересных из них, названы критерии эффективности системы защиты в целом и проведена оценка возможностей как отдельных методов противодействия, так и комбинированных.
The Java Virtual Machine is Over - The Polyglot VM is here - Marcus Lagergren...jaxLondonConference
Presented at JAX London 2013
Ever since Java’s inception, in 1995, people have been compiling languages that aren’t Java to bytecode and deploying them on the JVM. Lately we are seeing an explosion in JVM languages. This is partly, but not only, because of Java 7, the first JVM to ship with invokedynamic, which is a quantum leap in polyglot runtime implementation. This session explains why emerging language implementations are becoming more common and more feasible to implement on the JVM with satisfactory performance.
Сергей Грушко – эксперт в области IP-телефонии – о нюансах обеспечения безопасности системы IP-телефонии на базе Asterisk для онлайн-школы SkillFactory.
Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...Lenvendo
inShare
0 views
Компания "Ленвендо" занимается созданием, развитием и поддержкой крупномасштабных онлайн-проектов.
Сегодня «Ленвендо» отвечает за работу ресурсов «Эльдорадо», «Связной», HomeMe, Газпромбанк, Эхо Москвы в Петербурге
В докладе пойдет речь о DDoS — самом грубом оружии недобросовестной конкуренции, которое, к сожалению, применяется всё чаще. В докладе будет рассказано: что делать и куда бежать, если ваш интернет-магазин «ддосят», есть ли смысл обращаться к хостеру или придется отбиваться самому, как Яндекс реагирует на недоступность сайта и как восстановиться после атаки.
lm-sensors in embedded systems: from schematics to management from linuxPavel Kurochkin
Helps to understand lm-sensors in Altera Cyclone V SoC as full-stack task: implement it in schematics, configure device-tree, detect it on i2c bus, attach hwmon driver to it and perform end-user configuration of sensors app.
"Lanar Service" expanding our portfolio of desktop virtualization solution architectures, along with the ecosystem of technology partners who are helping us accelerate the path to VDI success for environments of all sizes.
Dmitry Menshikov "Release after the year of development: fierce debug to the ...Fwdays
Usually, the last working day of the year means people raiding the shops and making last-minute purchases of presents for their loved ones, liquor and ingredients for all kinds of winter holiday foods. But that is a normal people story — people who don’t release the infrastructure update, that had been developed during the whole year 2017, on the year’s final week. And that is exactly what we did. We had 3 new services, a new stack of video streaming platform, new team members, and new hardware of all kinds. Not that I didn’t realize that it’s a bad idea, but if you’re taking responsibility for the result and pull anchor, you’ve got to be ready to accept the fate prepared for you by an iceberg.
And so it’s 31.12.2017, two days of fruitless troubleshooting of failing streams are over, and you’re looking at Champaign in a glass and thinking how to dig into this black box. The troubleshooting took days more and ended in a non-stop one-week long Go vs Node hackathon, which resulted in the complete rewriting of video streaming core, which was found out to be the problem.
Настройка резервирования в Mikrotik. Dual-WAN, основные принципы и пошаговая ...mikrotik-training
Одна из самых долгожданных и востребованных тем!
Как вы знаете, к Mikrotik можно подключить любое количество провайдеров Интернет и каким-то образом обеспечить отказоустойчивость: а именно переключение каналов в случае падения основного.
Однако, в самом Mikrotik нет никакого штатного функционала по реализации этой функции.
Системные администраторы вынуждены самостоятельно искать и пробовать разные подходы к обеспечению решения.
На вебинаре мы разберем 2-3 разных принципа настройки Dual-WAN в Mikrotik: от простого к сложному.
Скрипт переключения
#Main interface name
:global MainIf ether1
#Failover interface name
:global RsrvIf ether2
:local PingCount 1
:local PingTargets {213.180.193.3; 77.88.8.8; 8.8.8.8; 217.69.139.202}
:local host
:local MainIfInetOk false
:local RsrvIfInetOk false
:local MainPings 0
:local RsrvPings 0
foreach host in=$PingTargets do={
:local res [/ping $host count=$PingCount interface=$MainIf]
:set MainPings ($MainPings + $res)
:local res [/ping $host count=$PingCount interface=$RsrvIf]
:set RsrvPings ($RsrvPings + $res)
:delay 1
}
:set MainIfInetOk ($MainPings >= 1)
:set RsrvIfInetOk ($RsrvPings >= 1)
:put "MainIfInetOk=$MainIfInetOk"
:put "RsrvIfInetOk=$RsrvIfInetOk"
:local MainGWDistance [/ip route get [find comment="WAN1"] distance]
:local RsrvGWDistance [/ip route get [find comment="WAN2"] distance]
:put "MainGWDistance=$MainGWDistance"
:put "RsrvGWDistance=$RsrvGWDistance"
if ($MainIfInetOk && ($MainGWDistance >= $RsrvGWDistance)) do={
/ip route set [find comment="WAN1"] distance=1
/ip route set [find comment="WAN2"] distance=2
:put "switched to main internet connection"
/log info "switched to main internet connection"
}
if (!$MainIfInetOk && $RsrvIfInetOk && ($MainGWDistance <=>
}
Рекурсивные маршруты
/ip route
add dst-address=8.8.8.8 gateway=1.1.1.1 scope=10
add dst-address=78.88.8.1 gateway=1.1.1.1 scope=10
add dst-address=78.88.8.8 gateway=2.2.2.2 scope=10
add dst-address=8.8.4.4 gateway=2.2.2.2 scope=10
/ip route
add dst-address=10.1.1.1 gateway=8.8.8.8 scope=10 target-scope=10 check-gateway=ping
add dst-address=10.1.1.1 gateway=78.88.8.1 scope=10 target-scope=10 check-gateway=ping
add dst-address=10.2.2.2 gateway=78.88.8.8 scope=10 target-scope=10 check-gateway=ping
add dst-address=10.2.2.2 gateway=8.8.4.4 scope=10 target-scope=10 check-gateway=ping
/ip route
add distance=1 gateway=10.1.1.1
add distance=2 gateway=10.2.2.2
add distance=1 gateway=10.2.2.2
add distance=2 gateway=10.1.1.1
9. Spoofed атаки по месяцам
80.00%
70.00%
60.00%
50.00%
40.00%
2013
2012
30.00%
20.00%
10.00%
0.00%
Январь
Фебраль
Март
Апрель
Май
Июнь
Июль
Август
Сентябрь
Октябрь
Ноябрь
Декабрь
11. Beating on the dead horse
• Aug 1999 RFC-2671 EDNS0
• May 2000 BCP-38 “Network Ingress Filtering”
• Mar 2004 BCP-84 “Ingress Filtering for Multihomed Networks”
• Mar 2006 ICANN DNS DDoS advisory
12. Как это работает
Плохие парни
Жертва: WTF MATE?!
T
TX UU
IN U U
SRC_IP Жертва
M UU U U
O
? TXT BOMB.EXAMPLE.COM
.C UUU UUU
E
~60b
PL UUU UU
M
U
XA UUU UU
E
B. UU UU d]
M
U [d
k
BO UUU UUU
~4
U U
FU UU
UU
Плечо атак и - x60
Кривой DNS
13. И дело не только в DNS
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes
00:27:54.013110 IP 192.168.1.1.55959 > 192.168.2.1.123: NTPv2, Reserved, length 12
00:27:54.028044 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028058 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028061 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028063 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028065 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028068 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028192 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028200 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028203 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 432
21. Global.Решения
Short term
Long term
• Rate limiting
• Отказ от EDNS0
• BCP-38/BCP-84
• Подождать, cамо отвалится…
• UDP auth cookies
• End-to-end аутентификация
… но только до следующего раза
24. Low&slow
• 1 запрос в 2-3 секунды
• 4 соединения
• 222 URL в циклически повторяющемся списке
• порядок получения объектов имитирует Firefox
• забирает статику
…. cпециализируется на банках средней руки.
25. Безопасность сетевых топологий
Угоны префиксов
Угоны префиксов в IPV6
• Возможны
• Встречаются in the wild
• Сложно обнаружимы
• RPSL проблему не решает
• RPKI проблему не решает
• Проблему решает:
наблюдательность и
педантичность
• Еще более возможны
• Разреженное адресное
пространство
• Меньше наблюдений и
пострадавших
…Идеальный плацдарм для атак
151 атака- 28 апреля - botnet sweep по всему нашему диапазону. Спасибо! Мы оценили! Приз за изобретательность!Макс. Ботнет – на банк, в деталях поговорим позжеМаксимальная длительность – на банк, но другойSpoofed, это атаки с нулевым стоп-листом – число увы заведомо ложное.
30-60-120 начало марта.Много пострадавших - цели неясны. Возможно потому что они из «серого интернета»
Хьюстон, Хьюстон - у нас проблемы!Привет Geoff Houston/APNIC
История про TVRAIN и их офис, и поставщика трафика.История про операторов DNS – мне печально.